ADVANCED PERSISTENT THREAT2023RESEARCHREPORT 2023ADVANCEDPERSISTENTT H R E AT PART 01PART 02P006P008目录CONTENTS2023年全球高级可持续性威胁概览2023年全球活跃A PT组织 012 北美015 南亚023 东亚031 东南亚033 东欧038 中东041 南美 PART 03PART 04P042P0522023年A PT攻击态势总结053 TOP20 ATT&CK技战术0 5 5 A PT攻击使用的0Day漏洞集中在操作系统和浏览器056 针对移动平台的A PT攻击愈加频繁且复杂0 57 针对芯片、5G等高科技领域的攻击威胁加剧058 围绕地理、地质测绘重点目标的攻击频发059 以破坏为目的网络攻击在地区冲突对抗中不断出现060 “舆论对抗”升温中持续演变061 网络空间对抗成为地缘政治较量的制高点关键行业攻击态势分析044 教育和科研045 政府机构043 国防军工048 交通运输050 能源附录P062 2023年高级可持续性威胁概览PART 01P006P0072023 ADVANCED PERSISTENT THREAT P0072023全球高级持续性威胁研究报告2023 ADVANCED PERSISTENT THREAT2023年，全球政治格局和国际关系日益复杂，俄乌冲突持续胶着，中东地区又爆发新一轮巴以冲突，全球秩序面临前所未有的变革和挑战，传统安全问题变得更加严峻和复杂。全球所面临来自网络空间的威胁日益 增加，高 级 持 续 性 威 胁（A PT）形势也更加严峻复杂，成为国家网络空间安全战略需要应对的突出风险。全球网络安全厂商和机构在2023年累计公开发布A PT报告731篇，报 告 中 涉及A PT组织135个，其中首次披露的A PT组织46个。全 球范 围 看，A PT组织攻击活动聚焦地区政治、经济等时事热点，攻击目标主要分布于政府、国防军工等行业领域。我国是A PT攻击活动主要受害国之一。截至目前，360依托全网安全大脑“看见威胁”的能力，已累计发现54个境外A PT组织，2023年最新捕获到两个境外组织：A PT- C - 57（ 沃 尔 宁）、A PT- C - 6 8（寄生 虫 ）。全年360监测到13个境外A PT组织针对我国的A PT攻击活动1200多起，相关A PT组织主要归属北美、南亚、东南亚和东亚地区。受影响重点目标涉及16个行业领域，受影响行业TO P 5为：教 育、政 府、科 研、国防军工、交通运输。360一直以来持续监测和跟进美国的A PT组 织 针对 我 国 的 网 络 攻击活 动：今 年3月，360对 A PT- C - 3 9（CIA）组织网络攻击武器和技战术细节进行了揭秘；7月，国家计算 机 病毒应 急 处 理中心 和360联合处置了美国组织对武汉市地震中心的网络渗透攻击；9月，国家计算机病毒应急处理中心和360披露了A PT- C - 4 0（NSA）组织网络间谍武器“二次约会”的技术分析报告。2023年A PT组织在攻击活动中利用的0day漏洞数量继续保持高位，东亚地区组织A PT- C - 0 6（DarkHotel）和A PT- C - 6 8（寄生 虫 ）组 织多次利 用0day漏洞，针对特定行业软件供应商展开攻击。针对移动平台的A PT攻击愈 加 频 繁 且 复杂，移动 平台的0day漏洞增长明显，这以A PT- C - 4 0（NSA）组 织利用一系列漏洞针对苹果iOS系统的“Triangulation”攻击活动最具代表性。纵观2023年，A PT组织在攻击活动中呈现出一系列新态势：我国半导体芯片、5G等高科技领域成为北美方向组织攻击新重点；多个地区组织对我国地理、地质测绘信息相关目标攻击活动持续升温；另外我国驻外机构和企业遭受的A PT攻击，无论从频次还是受影响程度都明显升高。全球范围A PT组织针对能源行业攻击活跃度增加；网络攻击组织不仅以窃取军事情报方式介入地区冲突，还逐渐开展实际破坏性攻击。网络空间对抗的重要性在地缘政治博弈和地区冲突中的作用日益突出，网络空间逐渐成为地缘政治较量的制高点。未来在在人工智能、神经网络等新技术的加持下，来自网络空间的威胁将成为所有国家共同需要面对的严峻挑战。2023年全球高级可持续性威胁概览PART.01Advanced Persistent Threat P0082023全球高级持续性威胁研究报告2023 ADVANCED PERSISTENT THREAT2023 ADVANCED PERSISTENT THREAT2023年全球活跃A PT组织PART 02P008P041 P0092023全球高级持续性威胁研究报告2023 ADVANCED PERSISTENT THREAT2023年全球活跃APT组织进入2023年，全 球 政 治 格 局 和 国 际 关 系 的日益 复 杂，全 球 秩 序 面 临 着 前 所 未 有 的 变 革 和 挑 战 ，全球化的消极互动成为一段时期内全球经济与政治互动的主要特征。在此形势下全球A PT组织的攻击活动继续保持着高活跃度。截止2023年12月，全球网络安全厂商以及机构，公开发布A PT报告累计731篇，报 告 中 涉及A PT组织135个，其中属于首次 披 露 的A PT组织46个。Advanced Persistent ThreatPART.02东欧组织名称活跃程度A PT- C - 5 3（Gamaredon）★★★A PT- C -2 5（A PT 2 9）★★★A PT- C -1 3（Sandworm）★★A PT- C -2 0（A PT 2 8）★★中东组织名称活跃程度A PT- C - 6 3（沙鹰）★★★A PT- C - 51（A PT3 5）★★A PT- C -2 3（双尾蝎）★★A PT- C - 49（OilRig）★东南亚组织名称活跃程度A PT- C - 0 0（海莲花）★★★★北美组织名称活跃程度A PT- C -3 9（CIA）★★★A PT- C - 57（沃尔宁）★★★A PT- C - 4 0（NSA）★★东亚组织名称活跃程度A PT- C - 01（毒云藤）★★★★A PT- C -26（Lazarus）★★★★A PT- C - 5 5（Kimsuki）★★★★A PT- C - 6 8（寄生虫）★★★A PT- C - 0 6（DarkHotel）★★★A PT- C -2 8（ScarCruft）★★★南美组织名称活跃程度A PT- C -3 6（盲眼鹰）★★▶ 2023年全球典型A PT组织活跃度情况南亚组织名称活跃程度A PT- C - 0 9（摩诃草）★★★★A PT- C - 0 8（蔓灵花）★★★★A PT- C - 4 8（CNC）★★★★A PT- C -24（响尾蛇）★★★APT-C-56（透明部落）★★★A PT- C - 61（腾云蛇）★★北美南美中东南亚东亚东欧东南亚 P0102023全球高级持续性威胁研究报告2023 ADVANCED PERSISTENT THREAT根据360全网安全大脑监测：2023年对中国发起攻击活动的A PT组织，主要为归属南亚、东南亚、东亚等地区的13个组织。目标单位集中分布于教育、政府、科研、国防军工、交通运输等16个重点行业领域 。从地 域 分布看，我 国 受A PT攻击影响的单位，集中分布于东南沿海和政治经济中心区域。这与我国关基行业、教育科研重点资源、国防军工核心单位地域分布情况存在相关性。基于A PT组织攻击活动次数、受影响单位数量、受攻击设备数量、技战术迭代频次等多个指标，我们对2023年攻击活动影响我国的A PT组织活跃度进行评估，得出下表。排名组织名称归属地域主要影响行业领域TO P1A PT- C - 01（毒云藤）东亚教育、政府、交通运输等TO P 2A PT- C - 0 9（摩诃草）南亚教育、国防军工、科研等TO P3A PT- C - 0 0（海莲花）东南亚政 府、教 育、科 研 等TO P4A PT- C - 0 8（蔓灵花）南亚政 府、教 育、能 源 等TO P 5A PT- C - 4 8（CNC）南亚教育、科研、国防军工等TO P6A PT- C - 0 6（DarkHotel）东亚制造、政 府等TO P7A PT- C - 3 9（CIA）北美制 造、科 研 等TO P 8A PT- C - 24（响尾蛇）南亚政 府、国 防军工等TO P 9A PT- C - 6 8（寄生虫）东亚国 防 军 工、科 研 等TO P10A PT- C - 6 0（伪猎者）东亚教育等 P0112023全球高级持续性威胁研究报告2023 ADVANCED PERSISTENT THREAT2023ADVANCEDPERSISTENTT H R E AT P0122023全球高级持续性威胁研究报告2023 ADVANCED PERSISTENT THREAT北美Advanced Persistent Threat来自美国的网络黑客组织针对全球的网络攻击行为早已呈现出自动化、体系化和智能化的特征，其网络武器技术先进，攻击手法复杂，几乎可以覆盖全球所有互联网和物联网资产，攻击者为达到军事、政治侦察目的，可以随时随地控制他国网络，窃取关键数据。继2022年6月，美 国A PT- C - 4 0（NSA）组织针对西北工业大学的网络攻击活动披露后，2023年7月，国家计算机病毒应急处理中心和360公司再次处置和披露和处置了美国方向黑客组织针对武汉市地震监测中心的网络攻击活动[1]。地震检测中心的地震烈度数据与国家安全息息相关，通过地震烈度数据可以还原出我交通、能源、军事等重要领域特定区域的三维地貌图，如果数据泄露将严重威胁我国军事安全和国家安全。2023年，360高级威胁研究院通过持续监测发现来源于北美方向针对我国的最新攻击活动。进一步综合研判溯源将此次攻击归属为一个全新A PT组织：A PT- C - 57（沃尔宁）。该组织擅长利用重点目标专用应用软件进行复杂的供应链攻击。其攻击活动最早可追溯到2018年，2021年至2023年间持续活跃。 P0132023全球高级持续性威胁研究报告2023 ADVANCED PERSISTENT THREAT A PT- C - 3 9（CIA）A PT- C - 3 9（CIA）组织长期针对中国航空航天、科研机构、石油、大型互联网公司以及政府等关键领域进行网络渗透攻击。2023年360先是在《“黑客帝国”调查报告――美国中央情报局（CIA）（ 之一）》[2]报告中，对CIA组织网络攻击武器主要细节进行了揭秘，随后在对CIA组织的持续跟踪中，再次捕获到该组织针对我国芯片、5G通信等领域目标的最新攻击活动。结合当前美国针对我国芯片、5G等高科技领域的打压态势，其用心不言而喻。A PT- C - 3 9（CIA）组织对中国和其他国家实施的网络攻击窃密活动，大量使用0day漏 洞，其中包括大批至今未被公开披露的后门和漏洞，在世界各地建立“僵尸”网络和攻击跳板网络，针对网络服务器、网络终端、交换机和路由器，以及数量众多的工业控制设备分阶段实施攻击入侵行动。A PT- C - 3 9（CIA）组织针对全球发起的网络攻击行为早已呈现出自动化、体系化和智能化的特征。360高级威胁研究人员在A PT- C - 3 9（CIA）组织针对中国境内目标实施的网络攻击行动中，成功提取 了多 个“Vault7”（ 穹 顶7）网络攻击武器样本。通过对样本进行分析发现：CIA组织使用的后门程序和攻击组件大都以无实体文件的内存驻留执行方式运行。这使得对相关样本的发现和取证难度极大。我们将 捕获的A PT- C - 3 9（CIA）组织攻击武器按类别，分为框架平台类、攻击模块投递类、远程控制类、横向移动类、信息收集窃